Polityka i prawo

Ilu CSIRT-ów sektorowych potrzebuje Polska?

  • fot. Wikimedia Commons

Zgodnie z projektem unijnej  dyrektywy ws. bezpieczeństwa sieciowego i informatycznego (tzw. dyrektywa NIS), Polska będzie musiała powołać na poziomie krajowym zespół reagujący na zagrożenia i incydenty bezpieczeństwa w cyberprzestrzeni na poziomie krajowym CSIRT (ang. Computer Security Incident Response Team). Nie wiadomo jednak jeszcze, na jakich zasadach i ile powstanie tzw. CSIRT-ów sektorowych.

Dyrektywa NIS dyrektywa zobowiązuje wszystkie państwa członkowskie w UE do zagwarantowania minimalnego poziomu krajowych zdolności w dziedzinie bezpieczeństwa teleinformacyjnego poprzez  ustanowienie właściwych organów do spraw bezpieczeństwa sieci i informacji, a następnie powołanie zespołów reagowania na incydenty komputerowe oraz przyjęcie krajowych strategii w zakresie bezpieczeństwa sieci i informacji.

Współpraca techniczna między poszczególnymi krajami UE w zakresie ochrony cyberprzestrzeni ma się odbywać  poprzez europejską sieć krajowych CSIRT-ów. Wiadomo jednak, że na poziomie kraju obsługa incydentów dotyczących całej cyberprzestrzeni przez jeden zespół jest w praktyce niemożliwa. Warto więc zadbać, by rozwinęła się sieć współpracujących zespołów typu CSIRT w różnych sektorach gospodarki. Tworzenie takich CSIRT-ów sektorowych jako zespołów powoływanych w poszczególnych sektorach gospodarki przewiduje projekt dyrektywy NIS.  

Na przykład logicznym wydaje się być np. powołanie CSIRT-u dedykowanego dla sektora energetycznego, który posiadałby wiedzę  o technologiach energetycznych i znałby specyfikę systemów IT tego sektora. Wydaje się bowiem, że tylko połącznie wiedzy o technologii danego sektora oraz zagrożeń typowych dla cyberprzestrzeni gwarantuje właściwe podejście  do problematyki ochrony sieci przemysłowych.

Maciej Groń, dyrektor Departamentu Społeczeństwa Informacyjnego w Ministerstwie Cyfryzacji na posiedzeniu sejmowej Komisja Cyfryzacji, Innowacyjności i Nowoczesnych Technologii przekonywał posłów, że warto, aby takich CSIRT-ów sektorowych było jak najwięcej.  Podawał przykład Japonii gdzie jest ich około 600.

Marcin Kuskowski, pełnomocnik Komendanta Głównego Policji do spraw bezpieczeństwa cyberprzestrzeni poinformował natomiast posłów, że w policji są podejmowane działania związane z przygotowaniem zespołu POL-CERT do reagowania na incydenty komputerowe. - Oddzielona została rola związana z ochroną infrastruktury policji od działań związanych ze zwalczaniem cyberprzestępczości. Jest zbudowany cały system, są powołane, ustanowione wydziały do walki z cyberprzestępczością – mówił Marcin Kuskowski.

Witold Kołodziejski, wiceminister cyfryzacji podkreślał natomiast, że projekt dyrektyw NIS umożliwia tworzenie i CSIRT-u narodowego  i CSIRT-ów sektorowych. - Opowiadamy się za połączeniem obydwu koncepcji, czyli stworzeniem CSIRT-u narodowego plus określonych CSIRT-ów sektorowych. Oczywiście, granice CSIRT-ów sektorowych będą przedmiotem kolejnych dyskusji – mówił Witold Kołodziejski.

Ministerstwo Cyfryzacji zapowiada bowiem, że przed implementacją dyrektywy NIS będzie prowadzić szerokie konsultacje w tej sprawie. -  Na dzisiaj jednak najrozsądniejszym rozwiązaniem wydaje się być  - choć były tutaj różne zdania –powołanie jednego ośrodka narodowego i przynajmniej kilku sektorowych, konkretnie w tych sektorach, które zidentyfikujemy jako najbardziej narażone na zagrożenia – podkreślał Witold Kołodziejski.

W takiej koncepcji rolą CSIRT krajowego zapewne będzie  koordynowanie działań CSIRT-ów sektorowych i podejmowanie działań w obliczu  zagrożeń i incydentów, które dotyczą wielu sektorów, a także rozwiązywanie problemów w obszarach, gdzie takie CSIRT-y nie istnieją. CSIRT krajowy powinien także – przy obsłudze incydentów – pełnić rolę ostatniej instancji. Jeśli bowiem nie wiadomo w danym przypadku, kto może czy powinien obsłużyć dany przypadek, CSIRT krajowy byłby zobowiązany do podjęcia stosownych działań. Oczywiście, powinien też mieć pełny obraz występujących zagrożeń w kraju, a  współpracujące z nim zespoły (CSIRT-y) powinny mieć obowiązek raportowania o zgłoszonych incydentach.

Komentarze